La Comisión Europea ha puesto en marcha un conjunto de herramientas destinado a fortalecer la seguridad de las cadenas de suministro de tecnologías de la información y la comunicación (TIC) críticas en toda la Unión Europea. El objetivo es ofrecer un marco común que permita identificar, evaluar y reducir los riesgos de ciberseguridad en estos sistemas esenciales.
El paquete describe diversos escenarios de riesgo y propone medidas de mitigación, entre ellas la evaluación de proveedores estratégicos, el fomento de estrategias multiproveedor y la reducción de la dependencia de proveedores considerados de alto riesgo. Además, ofrece a los Estados miembros la posibilidad de adaptar estas directrices a sus necesidades nacionales, reforzando así la protección de sus cadenas de suministro.
Coordinación y seguimiento del paquete
El desarrollo de estas herramientas se ha llevado a cabo en el marco del Grupo de Cooperación NIS2, formado por la Comisión Europea, la Agencia de la UE para la Ciberseguridad (ENISA) y los Estados miembros. Este grupo realizará un seguimiento a un año vista, evaluando la implementación, compartiendo buenas prácticas, detectando posibles dificultades y proponiendo ajustes para asegurar un enfoque uniforme en toda la UE.
Paralelamente, la Comisión presentó el 20 de enero de 2026 una versión revisada de la Ley de Ciberseguridad, que establece un marco fiable para las cadenas de suministro de TIC. Esta normativa aborda no solo los riesgos tecnológicos, sino también amenazas externas y factores no técnicos, garantizando así un enfoque coordinado y confiable en los sistemas digitales más críticos.
Vehículos conectados y automatizados, y detección en fronteras
El paquete incluye dos evaluaciones de riesgos coordinadas por los Estados miembros con el apoyo de la Comisión y ENISA. La primera se centra en los vehículos conectados y automatizados (CAV), analizando los riesgos asociados al tratamiento de grandes volúmenes de datos sensibles y a los sistemas de control que pueden recibir actualizaciones remotas.
La segunda evaluación examina los equipos de detección utilizados en fronteras y aduanas, identificando vulnerabilidades que podrían explotarse de manera remota o por errores humanos, así como los desafíos derivados de la dependencia de fabricantes fuera de la UE. Ambos informes proporcionan un análisis detallado de los riesgos, sus posibles consecuencias y las medidas de mitigación recomendadas.
Implementación y cumplimiento de la Directiva NIS2
La nueva guía está diseñada para ser independiente de cada actor, ofreciendo recomendaciones flexibles aplicables tanto al sector público como al privado. Su adopción permitirá a Estados miembros, empresas y operadores de infraestructuras críticas gestionar sus riesgos de manera estructurada, reduciendo la exposición a ciberamenazas y fortaleciendo la resiliencia del ecosistema digital europeo.
Asimismo, esta iniciativa contribuye al cumplimiento de la Directiva NIS2, facilitando evaluaciones coordinadas de riesgos en las cadenas de suministro críticas y promoviendo estándares de seguridad armonizados en la UE. Entre otras medidas, se incluyen la reducción de la dependencia de proveedores de alto riesgo, la mejora de las prácticas de contratación y el impulso de la soberanía tecnológica en sistemas digitales estratégicos.